> ## Documentation Index
> Fetch the complete documentation index at: https://www.krea.ai/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurazione SAML SSO

> Configura il Single Sign-On SAML per il tuo workspace Krea Enterprise con il tuo identity provider per abilitare un'autenticazione di team sicura e centralizzata.

<Info>
  **Solo Krea Enterprise** — Il SAML SSO è disponibile esclusivamente per i clienti Krea Enterprise. [Contatta il nostro team commerciale](mailto:sales@krea.ai) per saperne di più sui piani Enterprise.
</Info>

Questa guida ti accompagna nella configurazione del Single Sign-On SAML (SSO) per il tuo workspace Krea. Una volta configurato, gli utenti con indirizzi email del tuo dominio verificato possono accedere usando l'identity provider (IdP) della tua organizzazione.

## Prerequisiti

Prima di iniziare, assicurati di avere:

<CardGroup cols={2}>
  <Card title="Dominio verificato" icon="circle-check">
    Completa prima la [Verifica del dominio](/user-guide/help-and-support/domain-verification)
  </Card>

  <Card title="Ruolo nel workspace" icon="user-shield">
    Devi essere **owner** o **admin** del workspace
  </Card>

  <Card title="Accesso all'Identity Provider" icon="key">
    Accesso admin al tuo IdP (Okta, Google Workspace, ecc.)
  </Card>

  <Card title="Piano Enterprise" icon="building">
    Abbonamento Krea Enterprise attivo
  </Card>
</CardGroup>

## Passaggio 1: ottieni i dettagli del Service Provider Krea

Dopo aver completato la verifica del dominio, la modale di configurazione mostrerà la sezione di configurazione SAML.

![Modale di configurazione SAML](https://s.krea.ai/docs/sso-saml-config-modal.png)

Ti serviranno questi due valori per configurare il tuo identity provider:

| Campo            | Valore                                             |
| ---------------- | -------------------------------------------------- |
| **ACS URL**      | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
| **Entity ID**    | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
| **Metadata XML** | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |

<Tip>
  Clicca sull'**icona di copia** accanto a ciascun URL nella modale per copiarli esattamente.
</Tip>

## Passaggio 2: configura il tuo Identity Provider

Crea un'applicazione SAML nel tuo identity provider usando i valori del Passaggio 1.

<Tabs>
  <Tab title="Okta">
    <Steps>
      <Step title="Accedi alle applicazioni">
        Accedi alla tua Okta Admin Console (di solito `https://your-org.okta.com/admin`) e vai su **Applications** → **Applications** nella barra laterale.
      </Step>

      <Step title="Crea l'integrazione dell'app">
        Clicca su **Create App Integration**.

        Seleziona **SAML 2.0** come metodo di accesso e clicca su **Next**.
      </Step>

      <Step title="Configura le impostazioni generali">
        Inserisci **Krea** come App name.

        Facoltativamente carica un logo per una facile identificazione.

        Clicca su **Next**.
      </Step>

      <Step title="Configura le impostazioni SAML">
        Inserisci i seguenti valori:

        | Campo                       | Valore                                             |
        | --------------------------- | -------------------------------------------------- |
        | Single sign-on URL          | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Audience URI (SP Entity ID) | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format              | **EmailAddress**                                   |
        | Application username        | **Email**                                          |
      </Step>

      <Step title="Completa la configurazione">
        Clicca su **Next**.

        Nella pagina Feedback, seleziona "I'm an Okta customer adding an internal app" e clicca su **Finish**.
      </Step>

      <Step title="Ottieni l'URL dei metadati">
        Nella pagina dell'applicazione, vai alla scheda **Sign On**.

        Scorri fino a **SAML Signing Certificates** e trova il **Metadata URL**. Clicca su **Actions** → **View IdP metadata** per ottenere l'URL.
      </Step>

      <Step title="Assegna gli utenti">
        Vai alla scheda **Assignments** e assegna gli utenti o i gruppi che dovrebbero avere accesso a Krea.
      </Step>
    </Steps>

    <Info>
      Riferimento: [Help Okta - Creare integrazioni di app SAML ↗](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm)
    </Info>
  </Tab>

  <Tab title="Google Workspace">
    <Steps>
      <Step title="Apri la Admin Console">
        Accedi alla [Google Admin Console ↗](https://admin.google.com) con un account super amministratore.

        Vai su **Apps** → **Web and mobile apps**.
      </Step>

      <Step title="Aggiungi un'app SAML personalizzata">
        Clicca su **Add app** → **Add custom SAML app**.

        Inserisci **Krea** come nome dell'app e facoltativamente carica un logo.

        Clicca su **Continue**.
      </Step>

      <Step title="Scarica i metadati dell'IdP">
        Nella pagina **Google Identity Provider details**, hai due opzioni:

        **Opzione 1 (consigliata):** clicca su **Download Metadata** per scaricare il file XML.

        **Opzione 2:** copia **SSO URL**, **Entity ID** e scarica il **Certificate**.

        Clicca su **Continue**.
      </Step>

      <Step title="Configura i dettagli del Service Provider">
        Inserisci i seguenti valori:

        | Campo          | Valore                                             |
        | -------------- | -------------------------------------------------- |
        | ACS URL        | `https://superb.krea.ai/auth/v1/sso/saml/acs`      |
        | Entity ID      | `https://superb.krea.ai/auth/v1/sso/saml/metadata` |
        | Name ID format | **EMAIL**                                          |
        | Name ID        | **Basic Information > Primary email**              |

        Clicca su **Continue**.
      </Step>

      <Step title="Configura il mapping degli attributi (facoltativo)">
        Puoi saltare il mapping degli attributi per la configurazione SSO di base.

        Clicca su **Finish**.
      </Step>

      <Step title="Attiva l'app">
        Nella pagina dei dettagli dell'app, clicca su **User access**.

        Seleziona **ON for everyone** (o configura per specifiche unità organizzative).

        Clicca su **Save**.
      </Step>
    </Steps>

    <Note>
      Google Workspace non fornisce un URL dei metadati accessibile pubblicamente. Dovrai usare l'opzione **Metadata XML** in Krea (vedi Passaggio 3).
    </Note>

    <Info>
      Riferimento: [Help amministratore Google Workspace - Configurare un'app SAML personalizzata ↗](https://support.google.com/a/answer/6087519)
    </Info>
  </Tab>
</Tabs>

## Passaggio 3: collega il tuo IdP a Krea

Tornando alla modale di Krea, fornisci i metadati del tuo IdP:

<Tabs>
  <Tab title="URL (consigliato)">
    **Ideale per:** Okta e altri IdP che forniscono un URL pubblico dei metadati

    1. Nella modale di Krea, seleziona la scheda **URL**
    2. Incolla il **Metadata URL** del tuo IdP nel campo di testo
    3. Clicca su **Save changes**

    <Info>
      Usare un URL permette a Krea di recuperare automaticamente i certificati aggiornati quando il tuo IdP li ruota.
    </Info>
  </Tab>

  <Tab title="Metadata XML">
    **Ideale per:** Google Workspace o se l'URL dei metadati non è accessibile pubblicamente

    1. Apri il file XML dei metadati SAML scaricato in un editor di testo
    2. Copia tutto il contenuto
    3. Nella modale di Krea, seleziona la scheda **Metadata XML**
    4. Incolla il contenuto XML nell'area di testo
    5. Clicca su **Save changes**

    <Warning>
      Se usi l'XML, dovrai aggiornarlo manualmente quando il tuo IdP ruota i certificati.
    </Warning>
  </Tab>
</Tabs>

## Passaggio 4: testa la tua configurazione

<Steps>
  <Step title="Apri una finestra in incognito">
    Usa una nuova finestra del browser in incognito/privata per evitare sessioni in cache.
  </Step>

  <Step title="Vai al login di Krea">
    Vai su [krea.ai/login ↗](https://krea.ai/login)
  </Step>

  <Step title="Clicca sul pulsante SSO">
    Nella pagina di login, clicca sul pulsante **SSO** per avviare l'autenticazione SAML.

    <Warning>
      Krea non reindirizza automaticamente in base al tuo dominio email. Devi cliccare sul pulsante **SSO** per usare l'autenticazione SAML. Gli utenti possono comunque accedere con email e password se ne hanno una impostata.
    </Warning>
  </Step>

  <Step title="Inserisci la tua email">
    Digita un indirizzo email del tuo dominio verificato (ad esempio, `you@acme.com`)
  </Step>

  <Step title="Autenticati con il tuo IdP">
    Dovresti essere reindirizzato alla pagina di login della tua organizzazione.
  </Step>

  <Step title="Conferma l'accesso">
    Dopo l'autenticazione riuscita, avrai effettuato l'accesso a Krea.
  </Step>
</Steps>

<Check>
  **Riuscito!** Se riesci ad accedere, il tuo SAML SSO è configurato correttamente. Invita i membri del tuo team a usare il pulsante SSO con la loro email di lavoro per accedere.
</Check>

## Imporre il SAML SSO

Una volta configurato e testato l'SSO, puoi imporlo a tutti gli utenti con il tuo dominio verificato. Questo garantisce che chiunque nella tua organizzazione si autentichi tramite il tuo identity provider.

![Toggle di imposizione SSO nelle impostazioni del workspace](https://s.krea.ai/docs/sso-enforcement.png)

<Steps>
  <Step title="Vai alle impostazioni del workspace">
    Vai su [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings) e scorri fino alla sezione **Single Sign-On (SSO)**.
  </Step>

  <Step title="Trova SSO Enforcement">
    Trova il toggle **SSO Enforcement** sulla card SSO del tuo dominio verificato.
  </Step>

  <Step title="Abilita il toggle">
    Clicca sul toggle per abilitare l'imposizione dell'SSO.
  </Step>

  <Step title="Conferma">
    Esamina la finestra di dialogo di conferma e conferma per abilitare l'imposizione.
  </Step>
</Steps>

<Warning>
  **Quando l'imposizione è abilitata:**

  * A tutti gli utenti con il tuo dominio verificato sarà richiesto di accedere tramite il tuo identity provider
  * Il login con password e magic link sarà disabilitato per questi utenti
  * Le sessioni correnti continueranno fino al successivo login dell'utente, dopodiché dovranno usare l'SSO
</Warning>

### Disabilitare l'imposizione

Se hai bisogno di disabilitare l'imposizione dell'SSO:

1. Vai su [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Nella sezione **Single Sign-On (SSO)**, trova il toggle **Enforce SSO**
3. Clicca sul toggle per disabilitare l'imposizione
4. Gli utenti riavranno la possibilità di accedere con password o magic link

<Note>
  Disabilitare l'imposizione non disabilita l'SSO stesso — gli utenti possono comunque scegliere di accedere tramite SSO usando il pulsante SSO nella pagina di login.
</Note>

## Risoluzione dei problemi

<AccordionGroup>
  <Accordion title="Configurazione SSO non riuscita">
    * **Controlla gli URL** — assicurati che ACS URL e Entity ID siano esattamente come mostrati (senza slash finali)
    * **Verifica l'accesso ai metadati** — se usi un URL, assicurati che sia accessibile pubblicamente
    * **Prova invece l'XML** — se l'URL non funziona, scarica e incolla direttamente l'XML
    * **Controlla la scadenza del certificato** — i certificati IdP scaduti faranno fallire la configurazione
  </Accordion>

  <Accordion title="Gli utenti non riescono ad accedere">
    * **Cliccare sul pulsante SSO** — gli utenti devono cliccare sul pulsante SSO nella pagina di login (non basta inserire l'email)
    * **Assegnare gli utenti nell'IdP** — gli utenti devono essere assegnati all'app SAML di Krea nel tuo IdP
    * **Controllare il Name ID** — verifica che il Name ID sia impostato sul formato email/EmailAddress nel tuo IdP
    * **Verificare il dominio email** — le email degli utenti devono corrispondere esattamente al dominio verificato
    * **Controllare il provisioning utenti** — gli utenti potrebbero dover essere prima invitati al workspace Krea
  </Accordion>

  <Accordion title="Errore 'Invalid SAML response'">
    * **Disallineamento dell'orologio** — assicurati che l'orologio del server IdP sia accurato (entro 5 minuti dall'ora reale)
    * **Condizioni dell'asserzione** — verifica che le condizioni NotBefore/NotOnOrAfter dell'asserzione SAML siano valide
    * **Problemi di firma** — verifica che venga utilizzato il certificato corretto
  </Accordion>

  <Accordion title="Loop di redirect o pagina vuota">
    * **Cancella i cookie** — cancella tutti i cookie relativi a Krea e riprova
    * **Controlla l'ACS URL** — assicurati che non ci siano errori di battitura nell'ACS URL configurato nel tuo IdP
    * **Verifica il dominio** — conferma che la verifica del dominio sia ancora attiva
  </Accordion>
</AccordionGroup>

## Gestire l'SSO

### Visualizzare lo stato dell'SSO

1. Vai su [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Scorri fino alla sezione **Domain Management**
3. La card SSO mostra:
   * Stato **Enabled** con un indicatore verde
   * Il tuo **dominio** verificato
   * Pulsante **Configure** per modificare le impostazioni

### Aggiornare i metadati dell'IdP

Se hai bisogno di aggiornare i metadati del tuo IdP (ad esempio, dopo una rotazione del certificato):

1. Vai su [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Nella sezione **Domain Management**, clicca su **Configure** nella card SSO
3. Aggiorna l'URL o l'XML dei metadati
4. Clicca su **Save changes**

### Disabilitare l'SSO

<Warning>
  Disabilitare l'SSO richiederà a tutti gli utenti di accedere con email e password. Assicurati che gli utenti abbiano una password impostata prima di disabilitarlo.
</Warning>

1. Vai su [Workspace Settings ↗](https://www.krea.ai/settings/workspace-settings)
2. Nella sezione **Domain Management**, clicca su **Configure** nella card SSO
3. Clicca su **Disable SSO** in fondo alla modale
4. Conferma l'azione

## Hai bisogno di aiuto?

<CardGroup cols={2}>
  <Card title="Supporto Enterprise" icon="headset" href="mailto:support@krea.ai">
    Contatta il nostro team di supporto enterprise all'indirizzo **[support@krea.ai](mailto:support@krea.ai)**
  </Card>

  <Card title="Team commerciale" icon="envelope" href="mailto:sales@krea.ai">
    Domande sui piani Enterprise? Scrivi a **[sales@krea.ai](mailto:sales@krea.ai)**
  </Card>
</CardGroup>
